JagoanSiber - SOC Analyst CTF Alert Triaging

Alert Triaging

Evaluasi dan prioritaskan alert keamanan dari berbagai sumber. Challenge ini menguji kemampuan menganalisis alert SIEM, mengidentifikasi true positive dari false positive, dan melakukan triaging insiden keamanan secara efektif.

5 Challenges

5/5 Solved

1500 Total Points

Challenges in this Category

Password Reset Activity

300 pts Hard

Malicious Web Traffic

300 pts Hard

Elevated Privileges Detected

300 pts Hard

Suspicious New Domain Access detected

300 pts Hard

New Administrative Account

300 pts Hard

Challenge

Question: Alert Name: Multiple Password Reset Attempts Alert Context: A user requested a password reset through the legitimate password recovery flow at 09:19 AM. Question: Is this a True Positive (TP) or False Positive (FP) security alert?
Flag Format: SOC{TP} or SOC{FP}

Solution

Disini alert mengatakan melakukan password reset melalui flow resmi dan tidak di sebutkan ada nya bypass, brute force, atau penyalahgunaan token, sehingga ini adalah False Positive Answer: SOC{FP}

Flag

SOC{FP}

Challenge

Question: Alert Name: Access to Potentially Malicious Website Alert Context: A user visited a newly registered domain flagged by your threat intel feed during business hours. Question: Is this a True Positive (TP) or False Positive (FP) security alert?
Flag Format: SOC{TP} or SOC{FP}

Solution

Disini alert mengatakan user mengakses domain yang baru terdaftar dan terdeteksi oleh threat intel feed, sehingga ini adalah False Positive karena hanya kunjungan, tidak ada bukti compromise Answer: SOC{FP}

Flag

SOC{FP}

Challenge

Question: Alert Name: Privilege Escalation Attempt Detected Alert Context: A legitimate system administrator used sudo to perform routine maintenance tasks during their scheduled work shift.
Flag Format: SOC{TP} or SOC{FP}

Solution

Disini alert mengatakan user melakukan privilege escalation menggunakan sudo, dan yang menjalankan adalah legitimate system administrator, sehingga ini adalah False Positive Answer: SOC{FP}

Flag

SOC{FP}

Challenge

Question:Alert Name: New Domain Access - Low Reputation Alert Context: A web server initiated outbound connections to a cryptocurrency mining pool domain that was registered 3 days ago.
Flag Format: SOC{TP} or SOC{FP}

Solution

Disini alert mengatakan web server melakukan outbound connections ke cryptocurrency mining pool domain yang baru terdaftar, sehingga ini adalah True Positive Answer: SOC{TP}

Flag

SOC{flag}

Challenge

Question:Alert Name: Admin User Created Non-Business Hours Alert Context: A new local administrator account was created following the standard HR onboarding procedure for a new IT team member.
Flag Format: SOC{TP} or SOC{FP}

Solution

Disini alert mengatakan akun dibuat mengikuti standard HR onboarding procedure untuk IT team member, sehingga ini adalah False Positive Answer: SOC{FP}

Flag

SOC{flag}